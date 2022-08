Slack hat in einem Blogpost einen Fauxpas bei seinem Umgang mit gespeicherten Passwörtern, beziehungsweise den Hashes der Passwörter zugegeben. Der Fehler wurde fünf Jahre lang nicht entdeckt, dürfte aber keine schwerwiegenden Folgen gehabt haben. Trotzdem zeigt er, dass mangelhaft durchdachte Mechanismen bei der Kommunikation zwischen den Usern einer App ein Gefahrenpunkt sein können.

Der Fehler existierte laut Slack vom 17. April 2017 bis zum 22. Juli 2022. User, deren Passwörter potenziell gefährdet waren, werden nun zwangsweise einen Passwort-Reset durchführen müssen. Gemäss Slack handelt es sich um etwa ein halbes Prozent aller Slack-Anwender.

Laut dem Anbieter des weit verbreiteten Kollaborationstools, das auch in unserer Redaktion benützt wird, lag der Fehler beim Mechanismus für das Einladen von anderen Usern in einen geteilten Workspace. Unter den Daten, die an den PC des Empfängers geschickt wurden, befand sich nämlich auch das gehashte Passwort des Einladenden. Der Empfänger sah dies zwar nicht, aber Angreifer hätten die Daten abgreifen können, wenn sie aktiv den Netzwerkverkehr überwacht hätten.

Wie gesagt, wären sie dadurch allerdings nur an die gehashte Form des Passworts gelangt. Abhängig vom verwendeten Hashing-Algorithmus sowie der Komplexität und Zufälligkeit eines Passworts ist es einfach bis beinahe unmöglich (beziehungsweise viel zu langwierig), aus einem Hash das ursprüngliche Passwort zu errechnen. Der Hash an sich kann nicht benützt werden, um sich in einem Konto einzuloggen. Laut Slack waren die Hashes zudem auch noch "gesalzen" (salted). Dies ist eine Methode, bei der dem Hash userspezifisch weitere zufällige Zeichen hinzugefügt werden. Dies verlängert die Zeit, die es braucht, um ihn zu knacken noch einmal deutlich. Mehr zum Thema Hashing und Salting findet man in diesem früheren Artikel von inside-it.ch

Diese Zeit, die es brauchen würde, um ein Passwort zu errechnen, ist das eigentlich Wichtige bei diesen Verschlüsselungsmethoden. Absolute Sicherheit können sie nicht bieten. Aber wenn Hacker zu viel Computerzeit beziehungsweise Strom brauchen, um ein Passwort mit unbekanntem Wert zu knacken, werden sie es nicht tun.